Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC) w praktyce – EY Academy of Business

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC) w praktyce

Zapraszamy na praktyczne szkolenie poświęcone wymaganiom cyberbezpieczeństwa wynikającym z dyrektywy NIS2 oraz nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC).

Szkolenie polecamy przede wszystkim:

  • Liderzy odpowiedzialna za zarządzanie bezpieczeństwem w organizacji i ciągłością biznesową
  • Liderzy odpowiedzialni za bezpieczeństwo IT i OT
  • Osoby odpowiedzialne za zgodność i raportowanie
  • Audytorom i osobom zajmującym się kontrolą wewnętrzną oraz zarządzaniem ryzykiem w organizacjach

Zapraszamy na praktyczne szkolenie poświęcone wymaganiom cyberbezpieczeństwa wynikającym z dyrektywy NIS2 oraz nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC). W przystępny sposób omówimy kluczowe obowiązki, jakie stoją przed organizacjami, koncentrując się na realnych przykładach rozwiązań, sprawdzonych modelach i ich zastosowaniu w praktyce.

To nie będzie kolejna porcja suchej teorii – pokażemy zarówno zalety, jak i ograniczenia różnych podejść, aby umożliwić uczestnikom świadome dopasowanie rozwiązań do specyfiki własnej organizacji.

Szczególną uwagę poświęcimy obszarom People – Process – Technology, bo skuteczne cyberbezpieczeństwo to efekt współdziałania ludzi, procesów i technologii.

Governance stanowi solidną podstawę, ale to wsparcie technologiczne daje możliwość realnej ochrony i ułatwia codzienne funkcjonowanie organizacji.

Podczas szkolenia pokażemy, jak wykorzystać dostępne narzędzia i metody, by zwiększyć odporność Twojej organizacji – niezależnie od jej branży czy wielkości.

1. Wprowadzenie do UKSC

  • Cele Dyrektyw NIS2
  • Zakres obowiązywania UKSC
  • Harmonogram wdrożenia UKSC
  • Odpowiedzialność spółki i członków zarządu​ UKSC

2. Organizacja zarządzania cybezpieczeństem [Art. 8d, lit. 1-5]

  • Określenie celów i zakresu funkcjonowania SZBI​
  • Zapewnienie adekwatnych środków finansowych na SZBI​
  • Przydzielenie zadań i zapewnienie nadzoru nad realizacją SZBI​
  • Zapewnienie świadomości obowiązków personelu wynikających SZBI​
  • Zapewnienie zgodności z regulacjami wewnętrznymi ​
    i przepisami prawa

3. Zarządzanie ryzykiem w cyberbezpieczeństwie [Art. 8 ust. 1 pkt 1]

  • Ustanowienie polityki szacowania ryzyka cyberbezpieczeństwa​
  • Systematyczne szacowania ryzyka wystąpienia incydentu​
  • Postępowanie z ryzykiem​

4. Zabezpieczenia organizacyjne i techniczne mitygujące ryzyka w cyberbezpieczeństwie [Art. 8 ust. 1 pkt 1-2]

  • Ustanowienie polityki bezpieczeństwa systemu informacyjnego, zapewniającej odporność systemów informacyjnych​
  • Zapewnienie bezpieczeństwa w procesie nabywania, rozwoju, utrzymania i eksploatacji systemu informacyjnego, w tym jego testowanie​
  • Zapewnienie bezpieczeństwa fizycznego i środowiskowego, uwzględniając kontrole dostępu​
  • Zapewnienie bezpieczeństwa zasobów ludzkich (edukacja ​
    i promowanie zasad cyberhigieny)​
  • Zapewnienie podstawowych zasad cyberhigieny​
  • Zapewnienie polityki i procedury stosowania kryptografii, ​
    w tym w stosownych przypadkach szyfrowania​
  • Zapewnienie stosowania bezpiecznych środków komunikacji elektronicznej, uwzględniających uwierzytelnianie wieloskładnikowe w stosownych przypadkach​
  • Zapewnienie zarządzania aktywami​
  • Zapewnienie polityki kontroli dostępu do systemów informacyjnych​
  • Zapewnienie polityki i procedury oceny skuteczności stosowanych środków technicznych i organizacyjnych

5. Zabezpieczenia zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemów informacyjnych [Art. 8 ust. 1 pkt 5 lit. A-D]

  • Stosowanie mechanizmów zapewniających poufność, integralność, dostępność ​
    i autentyczność danych przetwarzanych w systemie informacyjnym​
  • Przeprowadzanie regularnych aktualizacji oprogramowania (stosownie do zaleceń producenta)​
  • Zapewnienie ochrony przed nieuprawnioną modyfikacją w systemie informacyjnym​
  • Zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego​
  • Podejmowanie działań po dostrzeżeniu podatności lub cyberzagrożeń, które może skutkować zakłóceniem świadczonych usług​
  • Podejmowanie działań po dostrzeżeniu czasowego ograniczenia ruchu sieciowego przychodzącego do infrastruktury podmiotu, które może skutkować zakłóceniem świadczonych usług

6. Zarządzanie łańcuchem dostaw produktów ICT, usług ICT i procesów ICT [Art. 8 ust. 2 pkt 1-4]

  • Zapewnienie bezpieczeństwa łańcucha dostaw produktów ICT, usług ICT i procesów ICT od których podmiot jest zależny​
  • Zapewnienie ciągłości łańcucha dostaw produktów ICT, usług ICT i procesów ICT ​
    od których podmiot jest zależny​
  • Identyfikowanie i ocena podatności związanych z dostawcą sprzętu lub oprogramowania​
  • Ocena jakości produktów ICT, usług ICT i procesów ICT pochodzących od dostawcy sprzętu lub oprogramowania​
  • Uwzględnianie wyników oceny bezpieczeństwa przeprowadzonej przez Grupę współpracy​
  • Uwzględnianie wyników postępowania w sprawie uznania dostawcy sprzętu ​
    i oprogramowania za dostawcę wysokiego ryzyka

7. Zarządzanie produktami ICT, usługami ITC lub procesami ICT (zwane dalej łącznie produktami ICT) [Art. 67c ust. 1-5, Art. 67d ust. 1–5]

  • Zakaz wprowadzania nowych produktów ICT objętych decyzją o uznaniu dostawcy za dostawcę wysokiego ryzyka​
  • Wycofanie produktów ICT wskazanych w decyzji organu właściwego ds. cyberbezpieczeństwa​
  • Utrzymanie istniejących produktów ICT w zakresie niezbędnym do utrzymania ciągłości usług​
  • Przekazywanie (na wniosek) informacji o wycofywanych produktach ICT do organu właściwego ds. cyberbezpieczeństwa​
  • Zakaz nabywania produktów ICT wskazanych decyzją przez podmioty objęte PZP

8. Wymiana informacji dotycząca cyberbezpieczeństwa i cyberzagrożeniach [Art. 8h, ust. 1]

  • Wymiana informacji o cyberzagrożeniach, podatnościach, technikach i procedurach, oznakach naruszenia integralności systemu informacyjnego, wrogich taktykach, grupach przestępczych i zalecenia dotyczące konfiguracji narzędzi bezpieczeństwa mających wykrywać cyberataki

9. Zarządzanie incydentami [Art. 7 ust. 2, Art. 8 ust. 1 pkt 2, pkt.4, Art. 11 ust. 1-3, Art. 67g ust. 9 oraz Art. 67h]

  • Opracowanie procedur wykrywania, rejestrowania, analizowania ​
    i usuwania skutków incydentów​
  • Monitorowania w trybie ciągłym systemów informacyjnych wykorzystywanych do świadczenia usługi​
  • Raportowanie incydentów krytycznych​
  • Zapewnienie współpracy z CSIRT​
  • Wykonanie poleceń zabezpieczających minister właściwego ds. informatyzacji​
  • Raportowanie działań naprawczych

10. Zarządzania ciągłością działania [Art. 8 ust. 1 pkt 2 lit. F, pkt 5 lit. B]

  • Identyfikacja i ocena krytyczności świadczonych usług​
  • Przeprowadzenie analizy wpływu na biznes i oceny utraty dostępności​
  • Wdrażanie, dokumentowanie, testowanie i utrzymywanie:​
  • Planów ciągłości działania umożliwiających ciągłe ​
    i niezakłócone świadczenie usługi przed podmiot​
  • Planów awaryjnych​
  • Planów odtworzenia działalności umożliwiających odtworzenie systemu informacyjnego po zdarzeniu

Kamil Pszczółkowski - Kamil Pszczółkowski posiada ponad 19-letnie doświadczenie w obszarze zarządzania bezpieczeństwem informacji, ciągłością działania, ryzykiem, usługami IT, kontrolą dostępu, zarządzaniem kryzysowym oraz ochroną danych osobowych.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC) w praktyce

Zapisz się

Cena

1 300 zł netto (1 599,00 zł brutto)

Zapisz się

Cena

Cena za osobę

1 300 zł netto (1 599,00 zł brutto)

Lokalizacja

Warszawa

Termin

4 grudnia 2025

Kontakt

Anna Sobora

Koordynator kursu

Zapisz się
Kontakt
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC) w praktyce

Zapraszamy na praktyczne szkolenie poświęcone wymaganiom cyberbezpieczeństwa wynikającym z dyrektywy NIS2 oraz nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC).

Dla kogo?

Szkolenie polecamy przede wszystkim:

  • Liderzy odpowiedzialna za zarządzanie bezpieczeństwem w organizacji i ciągłością biznesową
  • Liderzy odpowiedzialni za bezpieczeństwo IT i OT
  • Osoby odpowiedzialne za zgodność i raportowanie
  • Audytorom i osobom zajmującym się kontrolą wewnętrzną oraz zarządzaniem ryzykiem w organizacjach
Cele i korzyści

Zapraszamy na praktyczne szkolenie poświęcone wymaganiom cyberbezpieczeństwa wynikającym z dyrektywy NIS2 oraz nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC). W przystępny sposób omówimy kluczowe obowiązki, jakie stoją przed organizacjami, koncentrując się na realnych przykładach rozwiązań, sprawdzonych modelach i ich zastosowaniu w praktyce.

To nie będzie kolejna porcja suchej teorii – pokażemy zarówno zalety, jak i ograniczenia różnych podejść, aby umożliwić uczestnikom świadome dopasowanie rozwiązań do specyfiki własnej organizacji.

Szczególną uwagę poświęcimy obszarom People – Process – Technology, bo skuteczne cyberbezpieczeństwo to efekt współdziałania ludzi, procesów i technologii.

Governance stanowi solidną podstawę, ale to wsparcie technologiczne daje możliwość realnej ochrony i ułatwia codzienne funkcjonowanie organizacji.

Podczas szkolenia pokażemy, jak wykorzystać dostępne narzędzia i metody, by zwiększyć odporność Twojej organizacji – niezależnie od jej branży czy wielkości.

Program

1. Wprowadzenie do UKSC

  • Cele Dyrektyw NIS2
  • Zakres obowiązywania UKSC
  • Harmonogram wdrożenia UKSC
  • Odpowiedzialność spółki i członków zarządu​ UKSC

2. Organizacja zarządzania cybezpieczeństem [Art. 8d, lit. 1-5]

  • Określenie celów i zakresu funkcjonowania SZBI​
  • Zapewnienie adekwatnych środków finansowych na SZBI​
  • Przydzielenie zadań i zapewnienie nadzoru nad realizacją SZBI​
  • Zapewnienie świadomości obowiązków personelu wynikających SZBI​
  • Zapewnienie zgodności z regulacjami wewnętrznymi ​
    i przepisami prawa

3. Zarządzanie ryzykiem w cyberbezpieczeństwie [Art. 8 ust. 1 pkt 1]

  • Ustanowienie polityki szacowania ryzyka cyberbezpieczeństwa​
  • Systematyczne szacowania ryzyka wystąpienia incydentu​
  • Postępowanie z ryzykiem​

4. Zabezpieczenia organizacyjne i techniczne mitygujące ryzyka w cyberbezpieczeństwie [Art. 8 ust. 1 pkt 1-2]

  • Ustanowienie polityki bezpieczeństwa systemu informacyjnego, zapewniającej odporność systemów informacyjnych​
  • Zapewnienie bezpieczeństwa w procesie nabywania, rozwoju, utrzymania i eksploatacji systemu informacyjnego, w tym jego testowanie​
  • Zapewnienie bezpieczeństwa fizycznego i środowiskowego, uwzględniając kontrole dostępu​
  • Zapewnienie bezpieczeństwa zasobów ludzkich (edukacja ​
    i promowanie zasad cyberhigieny)​
  • Zapewnienie podstawowych zasad cyberhigieny​
  • Zapewnienie polityki i procedury stosowania kryptografii, ​
    w tym w stosownych przypadkach szyfrowania​
  • Zapewnienie stosowania bezpiecznych środków komunikacji elektronicznej, uwzględniających uwierzytelnianie wieloskładnikowe w stosownych przypadkach​
  • Zapewnienie zarządzania aktywami​
  • Zapewnienie polityki kontroli dostępu do systemów informacyjnych​
  • Zapewnienie polityki i procedury oceny skuteczności stosowanych środków technicznych i organizacyjnych

5. Zabezpieczenia zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemów informacyjnych [Art. 8 ust. 1 pkt 5 lit. A-D]

  • Stosowanie mechanizmów zapewniających poufność, integralność, dostępność ​
    i autentyczność danych przetwarzanych w systemie informacyjnym​
  • Przeprowadzanie regularnych aktualizacji oprogramowania (stosownie do zaleceń producenta)​
  • Zapewnienie ochrony przed nieuprawnioną modyfikacją w systemie informacyjnym​
  • Zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego​
  • Podejmowanie działań po dostrzeżeniu podatności lub cyberzagrożeń, które może skutkować zakłóceniem świadczonych usług​
  • Podejmowanie działań po dostrzeżeniu czasowego ograniczenia ruchu sieciowego przychodzącego do infrastruktury podmiotu, które może skutkować zakłóceniem świadczonych usług

6. Zarządzanie łańcuchem dostaw produktów ICT, usług ICT i procesów ICT [Art. 8 ust. 2 pkt 1-4]

  • Zapewnienie bezpieczeństwa łańcucha dostaw produktów ICT, usług ICT i procesów ICT od których podmiot jest zależny​
  • Zapewnienie ciągłości łańcucha dostaw produktów ICT, usług ICT i procesów ICT ​
    od których podmiot jest zależny​
  • Identyfikowanie i ocena podatności związanych z dostawcą sprzętu lub oprogramowania​
  • Ocena jakości produktów ICT, usług ICT i procesów ICT pochodzących od dostawcy sprzętu lub oprogramowania​
  • Uwzględnianie wyników oceny bezpieczeństwa przeprowadzonej przez Grupę współpracy​
  • Uwzględnianie wyników postępowania w sprawie uznania dostawcy sprzętu ​
    i oprogramowania za dostawcę wysokiego ryzyka

7. Zarządzanie produktami ICT, usługami ITC lub procesami ICT (zwane dalej łącznie produktami ICT) [Art. 67c ust. 1-5, Art. 67d ust. 1–5]

  • Zakaz wprowadzania nowych produktów ICT objętych decyzją o uznaniu dostawcy za dostawcę wysokiego ryzyka​
  • Wycofanie produktów ICT wskazanych w decyzji organu właściwego ds. cyberbezpieczeństwa​
  • Utrzymanie istniejących produktów ICT w zakresie niezbędnym do utrzymania ciągłości usług​
  • Przekazywanie (na wniosek) informacji o wycofywanych produktach ICT do organu właściwego ds. cyberbezpieczeństwa​
  • Zakaz nabywania produktów ICT wskazanych decyzją przez podmioty objęte PZP

8. Wymiana informacji dotycząca cyberbezpieczeństwa i cyberzagrożeniach [Art. 8h, ust. 1]

  • Wymiana informacji o cyberzagrożeniach, podatnościach, technikach i procedurach, oznakach naruszenia integralności systemu informacyjnego, wrogich taktykach, grupach przestępczych i zalecenia dotyczące konfiguracji narzędzi bezpieczeństwa mających wykrywać cyberataki

9. Zarządzanie incydentami [Art. 7 ust. 2, Art. 8 ust. 1 pkt 2, pkt.4, Art. 11 ust. 1-3, Art. 67g ust. 9 oraz Art. 67h]

  • Opracowanie procedur wykrywania, rejestrowania, analizowania ​
    i usuwania skutków incydentów​
  • Monitorowania w trybie ciągłym systemów informacyjnych wykorzystywanych do świadczenia usługi​
  • Raportowanie incydentów krytycznych​
  • Zapewnienie współpracy z CSIRT​
  • Wykonanie poleceń zabezpieczających minister właściwego ds. informatyzacji​
  • Raportowanie działań naprawczych

10. Zarządzania ciągłością działania [Art. 8 ust. 1 pkt 2 lit. F, pkt 5 lit. B]

  • Identyfikacja i ocena krytyczności świadczonych usług​
  • Przeprowadzenie analizy wpływu na biznes i oceny utraty dostępności​
  • Wdrażanie, dokumentowanie, testowanie i utrzymywanie:​
  • Planów ciągłości działania umożliwiających ciągłe ​
    i niezakłócone świadczenie usługi przed podmiot​
  • Planów awaryjnych​
  • Planów odtworzenia działalności umożliwiających odtworzenie systemu informacyjnego po zdarzeniu

Cena

1 300 zł netto (1 599,00 zł brutto)

Lokalizacja

Warszawa

Termin

4 grudnia 2025

Kontakt

Anna Sobora

Koordynator kursu

  • +48 572 002 646
  • anna.sobora@pl.ey.com